Топ-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — удар бэкдора Loki по российским компаниям, нацеленные на серверы IIS атаки DragonRank, применение инструментов Kaspersky для отключения EDR, использование серверов Oracle WebLogic для майнинга и DDoS-атак, новые атаки Earth Preta APT.

Loki. Неизвестный бэкдор ударил по российским компаниям

В июле 2024 года эксперты из «Лаборатории Касперского» обнаружили новый бэкдор Loki, применяемый в целевых атаках на российские компании. Он представляет собой приватную версию агента для открытого фреймворка Mythic. Более десяти компаний из разных сфер, включая машиностроение и медицину, стали жертвами этих атак. Loki наследует некоторые возможности от другого фреймворка, Havoc, включая техники, затрудняющие анализ, такие как шифрование кода в памяти. После активации загрузчик Loki формирует пакет с данными о зараженной системе и отправляет его на командный сервер в зашифрованном виде. В ответ сервер предоставляет DLL, которую загрузчик устанавливает в память устройства для дальнейшей обработки команд. Вредоносные документы маскировались под различные типы файлов, включая официальные письма и формы обновлений. Советуем сохранять бдительность и обучать сотрудников борьбе с социальной инженерией.

Атаки DragonRank ориентированы на серверы IIS

Специалисты из Cisco Talos обнаружили новую кибератаку, которая получила название DragonRank. Атака нацелена на манипуляцию результатами поисковых систем, используя серверы IIS. Злоумышленники эксплуатируют уязвимости веб-приложений PhpMyAdmin и WordPress для взлома серверов и внедрения вредоносного ПО. Внедренный вирус BadIIS модифицирует содержимое сайтов, чтобы обмануть алгоритмы поисковых систем и повысить рейтинг мошеннических ресурсов. Основной целью является создание